Ngày thứ Năm đầu tiên của tháng 5 là Ngày Mật khẩu thế giới. Nhà sản xuất chip máy tính Intel đã sáng tạo ra sự kiện này như là một lời nhắc nhở thường niên bởi đối với hầu hết chúng ta, những người vẫn cho rằng những thói quen về mật khẩu của mình chẳng là cái gì mà phải kỷ niệm cả. Thay vào đó, họ - và những chuyên gia máy tính như tôi - hy vọng rằng chúng ta sẽ sử dụng ngày đó để nói không với những mật khẩu dạng “ABC” và “123456”, những mật khẩu vẫn phổ biến nhất trên thế giới.
Vấn đề với những mật khẩu ngắn, dễ đoán
Mục đích của mật khẩu là nhằm hạn chế người khác truy cập vào thông tin của mình. Sử dụng những mật khẩu rất phổ biến và đơn giản như là “abcdef” hay “letmein”, hay thậm chí là những từ thông thường như “password” hay “dragon”, đơn thuần đó gần như không phải là phương thức bảo mật, giống như là ta đang đóng cửa mà không khóa.
Các công cụ bẻ mật khẩu của hacker đang tận dụng triệt để thiếu tính sáng tạo của người khác. Khi những tên hacker tìm thấy – hoặc mua – những nhãn quyền ăn cắp, chúng có thể sẽ phát hiện ra rằng password được lưu trữ bản thân nó không chỉ là đoạn mật khẩu mà còn cả dấu vân tay, được gọi là “các mã hash” (mã băm) của các mật khẩu thực. Một hàm băm về mặt toán học làm thay đổi mỗi mật khẩu thành một phiên bản được mã hóa, có độ dài cố định của chính nó. Hash mật khẩu gốc tương tự sẽ mang lại kết quả tương tự mọi lúc, nhưng về mặt tính toán trên máy tính thì gần như không thể đảo ngược được quá trình này, để lấy được mật khẩu gốc từ một hash cụ thể.
Thay vào đó, phần mềm cracking sẽ tính toán được các giá trị hash cho rất nhiều mật khẩu khả dĩ và so sánh các kết quả đó với các mật khẩu đã hash trong tệp tin ăn cắp. Nếu có mật khẩu nào trùng, thì hacker sẽ vào. Giai đoạn đầu tiên của những chương trình này bắt đầu với các giá trị hash đã biết cho các mật khẩu được sử dụng phổ biến.
Ngày càng nhiều người dùng có hiểu biết lựa chọn những mật khẩu ít phổ biến hơn thì họ vẫn có thể là nạn nhân của cái gọi là “tấn công từ điển”. Phần mềm cracking thử mỗi chữ cái trong 171.000 từ trong từ điển tiếng Anh. Sau đó chương trình này thử các từ ghép (như là mật khẩu abcdef), các dãy đôi (như abcabc), và các con số sau các chữ cái (abc123).
Đoán mò
Nếu khi tấn công từ điển không được, thì hacker sẽ phải tiến tới bước mà họ gọi là “brute-force attack”, đoán các dòng số, chữ cái và ký tự ngẫu nhiên lần này qua lần khác cho đến khi mật khẩu khớp.
Về mặt toán học thì mật khẩu càng dài sẽ càng khó đoán hơn những mật khẩu ngắn. Điều này cũng đúng thậm chí với các mật khẩu ngắn được lập từ nhiều nhóm ký tự khác nhau. Ví dụ, một mật khẩu có 6 ký tự được lập từ 95 biểu tượng khác nhau trên bàn phím tiêu chuẩn của Mỹ sẽ tạo ra đến 956, (735 tỷ) kết hợp có thể thực hiện được. Con số đó nghe có vẻ lớn, nhưng một mật khẩu có 10 ký tự được lập chỉ từ các phím chữ thường thôi đã tạo ra 2610, (141 nghìn tỷ) lựa chọn. Tất nhiên, một mật khẩu 10 ký tự từ 95 biểu tượng sẽ cho ra 9510, hoặc (59 nghìn triệu tỷ) kết hợp có thể thực hiện.
Đó là lý do tại sao một số trang web yêu cầu người dùng phải nhập mật khẩu có độ dài và số lượng các con số và ký tự đặc biệt nhất định – những mật khẩu này được lập để ngăn chặn các cuộc tấn công từ điển và tấn công brute-force. Tuy nhiên, căn cứ vào thực tế nếu đủ thời gian và khả năng tính toán, thì bất cứ mật khẩu nào cũng có thể bẻ được.
Và trong hầu hết các trường hợp, con người rất kém trong việc ghi nhớ các đoạn ký tự dài, khó đoán định. Đôi khi chúng ta sử dụng các thuật nhớ để hỗ trợ, giống như là cách người ta dùng cụm “Every Good Boy Does Fine” để nhắc mình nhớ về những cụm từ trong các tờ nhạc bướm. Thuật nhớ cũng giúp ta nhớ được mật khẩu như là “freQ!9tY!juNC”, đoạn mật khẩu mà lần đầu xuất hiện trông rất loằng ngoằng.
Tách mật khẩu này ra thành 3 đoạn, “freq.!”, “9tY!” và “juNC”, lại thể hiện rõ là những đoạn có thể nhớ được như ba từ ngắn, có thể phát âm ra là “freak”, “ninety” và “junk”. Con người sẽ giỏi ghi nhớ những mật khẩu có thể tách ra này, hoặc bởi họ tìm thấy nghĩa trong các đoạn đó, hoặc bởi họ dễ dàng gắn thêm nghĩa riêng vào các đoạn này thông qua thuật nhớ.
Không được sử dụng lại mật khẩu
Người dùng nên cân nhắc lời khuyên này để tạo các mật khẩu có ít nhất 15 ký tự và có đầy đủ các dạng số và chữ ngẫu nhiên.
Những tên hacker ăn cắp mật khẩu có khắp mọi nơi. Gần đây, các tập đoàn lớn như Yahoo, Adobe và LinkedIn đều đã bị thâm nhập. Mỗi vụ thâm nhập của hacker đã làm lộ tên người dùng và mật khẩu của hàng trăm triệu tài khoản. Những tên hacker biết rằng người ta thường sử dụng lại các mật khẩu, do đó khi một mật khẩu đã bị đánh cắp trên một trang web thì nó sẽ làm cho người đó rất dễ bị mất mật khẩu trên trang khác.
Không chỉ là mật khẩu
Chúng ta không chỉ cần những mật khẩu dài, khó đoán, mà còn cần cả những mật khẩu khác nhau cho những trang và những chương trình khác nhau mà ta sử dụng. Người dùng internet trung bình có 19 mật khẩu khác nhau. Rất dễ thấy được tại sao nhiều người viết mật khẩu của họ vào các giấy ghi nhớ hay chỉ bấm vào đường link “tôi quên mật khẩu”.
Phần mềm có thể hỗ trợ! Nhiệm vụ cả các phần mềm quản lý mật khẩu là phải chú ý vào việc tạo và ghi nhớ những mật khẩu độc, khó bị bẻ cho mỗi trang web và ứng dụng.
Đôi khi chính bản thân các chương trình này lại có nhiều điểm yếu rất dễ để những kẻ tấn công khai thác. Và một số trang web ngăn chặn những người quản lý mật khẩu thực hiện chức năng của mình. Và tất nhiên, một kẻ tất công có thể nhìn trộm vào bàn phím khi chúng ta đánh mật khẩu vào.
Xác thực đa yếu tố được tạo ra để giải quyết các vấn đề này. Xác thực đa yếu tố gồm một mã code được gửi tới một điện thoại, quét vân tay hay một token phần cứng USB đặc biệt. Tuy nhiên, mặc dù người dùng biết xác thực đa yếu tố có thể giúp họ an toàn hơn, nhưng họ lo ngại điều này sẽ gây bất tiện hoặc khó thực hiện. Để giúp người dùng sử dụng dễ dàng hơn, những trang web như là Authy.com đã đưa ra những hướng dẫn rõ ràng giúp thực hiện xác thực đa yếu tố trên các trang web phổ biến.
Hãy sử dụng một chương trình quản lý mật khẩu và bật chế độ xác thực đa yếu tố. Một khi đã thực hiện được như vậy, thì bạn có thể an tâm về độ an toàn mật khẩu của mình.